Partekatu honen bidez:


Opciones de configuración personalizada para Entornos de App Service

Información general

Puesto que los entornos de App Service están aislados en un solo cliente, hay ciertas opciones de configuración que se pueden aplicar exclusivamente a ellos. En este artículo se documentan las distintas personalizaciones específicas disponibles para los entornos de App Service.

Nota:

En este artículo se tratan las características, las ventajas y los casos de uso de App Service Environment v3, que se usa con los planes de App Service aislado v2.

Si no cuenta con un entorno de App Service Environment, vea Procedimientos para crear un entorno de App Service Environment v3.

Puede almacenar las personalizaciones del entorno de App Service mediante el uso de una matriz en el nuevo atributo clusterSettings . Este atributo se encuentra en el diccionario de "Propiedades" de la entidad hostingEnvironments de Azure Resource Manager.

La siguiente plantilla abreviada de Resource Manager muestra el atributo clusterSettings :

"resources": [
{
    "apiVersion": "2021-03-01",
    "type": "Microsoft.Web/hostingEnvironments",
    "name": ...,
    "location": ...,
    "properties": {
        "clusterSettings": [
            {
                "name": "nameOfCustomSetting",
                "value": "valueOfCustomSetting"
            }
        ],
        "internalLoadBalancingMode": ...,
        etc...
    }
}

El atributo clusterSettings se puede incluir en una plantilla de Resource Manager para actualizar el entorno de App Service.

Uso del Explorador de recursos de Azure para actualizar un entorno de App Service

Como alternativa, puede actualizar el entorno de App Service mediante el Explorador de recursos de Azure.

  1. En el Explorador de recursos, vaya al nodo de App Service Environment (subscriptions>{tu suscripción}>resourceGroups>{tu grupo de recursos}>providers>Microsoft.Web>hostingEnvironments). A continuación, haga clic en el entorno de App Service específico que quiere actualizar.
  2. En el panel derecho, haga clic en Lectura/escritura en la barra de herramientas superior para permitir la edición interactiva en el Explorador de recursos.
  3. Haga clic en el botón azul Editar para que la plantilla de Resource Manager se pueda editar.
  4. Desplácese hasta la parte inferior del panel derecho. El atributo clusterSettings se encuentra abajo del todo, donde puede especificar o actualizar su valor.
  5. Escriba (o copie y pegue) la matriz de valores de configuración que quiera en el atributo clusterSettings .
  6. Haga clic en el botón verde PUT situado en la parte superior del panel derecho para confirmar el cambio en el entorno de App Service.

Sin importar cómo envía el cambio, este no es inmediato y puede tardar hasta 24 horas en surtir efecto. Algunas opciones tienen detalles específicos sobre el tiempo y el impacto de la configuración de un valor específico.

Habilitación del cifrado interno

App Service Environment funciona como sistema de caja negra en el que no se pueden ver los componentes internos ni la comunicación dentro del sistema. Para permitir mayor capacidad de proceso, no se habilita el cifrado de forma predeterminada entre los componentes internos. El sistema es seguro, ya que no se puede acceder al tráfico ni supervisarlo. Si hay alguna medida de cumplimiento normativo que requiera el cifrado completo de toda la ruta de acceso a los datos, una forma de hacerlo es con clusterSetting.

"clusterSettings": [
    {
        "name": "InternalEncryption",
        "value": "true"
    }
],

Si InternalEncryption se establece en true, se cifrará el tráfico interno del entorno de App Service Environment entre los servidores front-end y los trabajos, así como el archivo de paginación y los discos de trabajo. La habilitación de clusterSetting de InternalEncryption puede afectar al rendimiento del sistema. Al realizar el cambio para habilitar InternalEncryption, el entorno de App Service Environment tendrá un estado inestable hasta que se propague el cambio totalmente. La propagación completa del cambio puede tardar unas horas en completarse, en función de cuántas instancias tenga en el entorno de App Service Environment. Le recomendamos encarecidamente que no habilite InternalEncryption en un entorno de App Service Environment si este se encuentra en uso. Si necesita habilitar InternalEncryption en un entorno de App Service Environment que se esté utilizando activamente, lo mejor es desviar el tráfico a un entorno de copia de seguridad hasta que se complete la operación.

Deshabilitación de TLS 1.0 y TLS 1.1

Si desea administrar la configuración de TLS aplicación por aplicación, luego puede usar la guía que se proporciona en el tutorial Enlazar un certificado SSL personalizado a Azure App Service.

Si quiere deshabilitar todo el tráfico de TLS 1.0 y TLS 1.1 entrante de todas las aplicaciones en un entorno de App Service Environment, puede establecer la siguiente entrada de clusterSettings:

"clusterSettings": [
    {
        "name": "DisableTls1.0",
        "value": "1"
    }
],

El nombre de la configuración dice 1.0, pero cuando se configura, se deshabilitan tanto TLS 1.0 como TLS 1.1.

Cambio del orden del conjunto de aplicaciones de cifrado TLS

El entorno de App Service Environment admite el cambio del conjunto de cifrado a partir del valor predeterminado. El conjunto predeterminado de cifrados es el mismo conjunto que se usa en App Service multiinquilino. Cambiar el conjunto de cifrado solo es posible con App Service Environment, la oferta de un solo inquilino, no la oferta multiinquilino, ya que el cambio afecta a toda la implementación de App Service. Hay dos conjuntos de cifrado necesarios para una instancia de App Service Environment: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Además, debe incluir los siguientes conjuntos de cifrado, que son necesarios para TLS 1.3: TLS_AES_256_GCM_SHA384 y TLS_AES_128_GCM_SHA256.

Para configurar app Service Environment para que use solo los cifrados que requiere, modifique el clusterSettings tal como se muestra en el ejemplo siguiente. Asegúrese de que los cifrados TLS 1.3 se incluyen al principio de la lista.

"clusterSettings": [
    {
        "name": "FrontEndSSLCipherSuiteOrder",
        "value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    }
],

Advertencia

Nota: Si se establecen valores incorrectos para el conjunto de aplicaciones de cifrado que SChannel no entiende, toda la comunicación TLS en el servidor podría dejar de funcionar. En tal caso, debe quitar la entrada FrontEndSSLCipherSuiteOrder de clusterSettings y enviar la plantilla de Resource Manager actualizada para volver a la configuración de conjunto de cifrado predeterminada. Utilice esta funcionalidad con precaución.

Primeros pasos

El sitio de inicio rápido de plantillas de Azure Resource Manager incluye una plantilla con la definición base para crear un entorno de App Service.